(https://i.imgur.com/7INfwMw.jpeg)
Microsoft reveló este lunes que detectó y mitigó automáticamente un ataque de denegación de servicio distribuida (DDoS) sin precedentes, considerado el más grande jamás observado en cualquier plataforma en la nube. El ataque alcanzó un volumen colosal de 15,72 terabits por segundo (Tbps) y una tasa de casi 3.640 millones de paquetes por segundo (pps), cifras que superan ampliamente los máximos históricos documentados en este tipo de ofensivas.
Dirigida contra un único punto final ubicado en Australia, la embestida se realizó mediante una botnet de Internet de las Cosas (IoT) identificada como AISURU, una variante avanzada de la conocida familia TurboMirai. La víctima del ataque sigue sin ser identificada, pero el incidente marca un hito inquietante en la evolución de las amenazas DDoS globales.
Una ofensiva UDP masiva: más de 500.000 IPs atacantes coordinadasSegún Microsoft, el ataque consistió en inundaciones UDP de altísimo ritmo, caracterizadas por ráfagas extremadamente breves pero devastadoras que saturaron el objetivo en cuestión de segundos.
CitarSean Whalen, analista de Microsoft, detalló:
"El ataque implicó inundaciones UDP de altísima velocidad dirigidas a una IP pública específica, procedentes de más de 500.000 direcciones de origen ubicadas en múltiples regiones".
Aunque el tráfico incluía un mínimo nivel de spoofing, los paquetes se enviaban desde puertos de origen aleatorios, dificultando las estrategias defensivas basadas en patrones. Este enfoque permitió a Microsoft rastrear mejor los vectores y coordinar mitigaciones rápidas a través de su infraestructura global.
AISURU: una botnet IoT capaz de generar más de 20 TbpsInvestigadores de QiAnXin XLab estiman que la botnet AISURU está respaldada por un ejército de casi 300.000 dispositivos IoT comprometidos, incluyendo:
- routers vulnerables,
- cámaras IP,
- sistemas DVR,
- dispositivos domésticos inteligentes expuestos.
AISURU se ha convertido en uno de los principales motores de ataques DDoS de gran escala observados durante 2024 y 2025. Algunos de sus ataques previos superaron la barrera de los 20 Tbps, lo que la sitúa como una de las botnets más potentes jamás documentadas.
Un informe reciente de NETSCOUT la clasifica como un servicio DDoS "bajo demanda", operado para una clientela restringida que paga por acceder a sus capacidades masivas. A pesar de su potencia, sus administradores han implementado "límites" para evitar atacar objetivos gubernamentales, militares o de seguridad nacional, centrándose principalmente en sectores como:
- juego online,
- servidores de entretenimiento,
- infraestructuras de baja protección,
- plataformas expuestas a ataques de extorsión.
Más que DDoS: AISURU ofrece funcionalidades criminales completasSi bien se la conoce por sus devastadores ataques de denegación de servicio, AISURU no es una botnet limitada a fines destructivos. Sus operadores han incorporado funcionalidades multiusos, ideal para diferentes tipos de actividades ilícitas:
- Credential stuffing (ataques de relleno de credenciales),
- Web scraping automatizado con IA,
- Spam masivo,
- Campañas de phishing,
- Servicios de proxy residencial para anonimato,
- Rotación de IP maliciosa automatizada.
Esta evolución confirma una tendencia peligrosa: las botnets modernas no solo buscan derribar servicios, sino que funcionan como ecosistemas criminales completos disponibles para clientes que pagan por su uso.
La escalada de los ataques DDoS: Internet crece y los atacantes tambiénMicrosoft advirtió que estos ataques masivos se volverán cada vez más comunes a medida que:
- aumentan las velocidades de conexión de fibra hasta el hogar,
- los dispositivos IoT se vuelven más potentes,
- los usuarios conectan más aparatos vulnerables,
- el ancho de banda global disponible continúa creciendo.
CitarSegún la compañía:
"Los atacantes están escalando con la propia Internet. A medida que aumentan las velocidades de fibra y los dispositivos IoT se vuelven más potentes, el nivel base del tamaño de los ataques también se incrementa".
Esto significa que ataques que hoy parecen excepcionales —como los 15,72 Tbps— podrían convertirse en eventos recurrentes si no se implementan defensas robustas y políticas globales de seguridad para el IoT.
Eleven11/RapperBot: otra botnet TurboMirai activa durante 2025Paralelamente, NETSCOUT reveló detalles sobre otra botnet de la misma familia TurboMirai: Eleven11, también conocida como RapperBot. Esta botnet lanzó alrededor de 3.600 ataques DDoS entre finales de febrero y agosto de 2025.
Lo preocupante es que parte de sus servidores de comando y control (C2) está registrada con el dominio de nivel superior .libre, perteneciente a OpenNIC, una alternativa descentralizada a la infraestructura DNS administrada por ICANN. Esta red alternativa ha sido usada también por botnets como CatDDoS y Fodcha, permitiendo a los operadores evadir suspensiones tradicionales.
Aunque las autoridades anunciaron el arresto de sus operadores y el desmantelamiento parcial del botnet, NETSCOUT advirtió que los dispositivos comprometidos siguen infectados y vulnerables:
Citar"Probablemente es cuestión de tiempo que estos hosts vuelvan a ser secuestrados y reclutados en nuevas botnets".
Un ataque récord que marca el futuro de las amenazas DDoSEl ataque de 15,72 Tbps neutralizado por Microsoft representa el punto culminante de una tendencia que ya no puede ignorarse: las botnets IoT están alcanzando niveles de potencia capaces de comprometer la estabilidad de regiones enteras de Internet si no se contienen adecuadamente.
La combinación de:
- botnets masivas,
- técnicas avanzadas como TurboMirai,
- infraestructura IoT insegura,
- redes DNS alternativas,
- y servicios criminales "DDoS-as-a-Service"
crea un escenario donde los ataques récord podrían convertirse en la norma.
En este contexto, la industria necesita invertir en mitigación automática, actualizaciones de seguridad IoT, bloqueo proactivo e inteligencia de amenazas integrada para evitar que incidentes como este vuelvan a escalar.
Fuente: https://thehackernews.com/